Télécharger

Introduction aux
solutions de Mobile
Device Management
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
LEXSI - INNOVATIVE SECURITY
QUELQUES CHIFFRES
Mi 2011, 77% de la population mondiale est équipée d’un Smartphone(1)
■
60% des entreprises déclarent accepter l’intégration des Smartphones personnels pour manipuler des données
professionnelles(2)
■
300 000 applications mobiles ont été développées ces 3 dernières années pour 10 milliards de téléchargements(3)
■
400% d’augmentation d’applications infectées par un malware sur la plateforme Android (Leader des OS pour
Smartphone en 2011) depuis le début de l’année(4)
■
Seulement 4% des Smartphones sont protégés par des solutions de sécurité(5)
■
75% des membres de conseils d’administration des grandes entreprises stockent des données confidentielles sur
les terminaux mobiles(6)
Source Morgan Stanley
■
EN 2013, LES UTILISATEURS SERONT PLUS NOMBREUX
À ACCÉDER À INTERNET DEPUIS UN SMARTPHONE QUE DEPUIS UN PC
Prenez le contrôle de votre flotte mobile
Source mobiThinking : http://mobithinking.com/mobile-marketing-tools/latest-mobile-stats
Source Symantec : http://www.symantec.com/connect/blogs/survey-results-consumerization-it-end-user-s-perspective-2
(3) Source mobiThinking
(4) Source Lockout : https://www.mylookout.com/_downloads/lookout-mobile-threat-report-2011.pdf
(5) Source Lockout
(6) Étude Thomson Reuters Accelus
(1)
(2)
ÉTUDE LEXSI
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ.
LEXSI - INNOVATIVE SECURITY
L’AVÈNEMENT DES SMARTPHONES EN ENTREPRISES
Les Smartphones ou autres tablettes constituent une composante essentielle d’un système d’information.
C’est le constat partagé par la majorité des DSI. Utiliser son Smartphone pour synchroniser sa messagerie
ou son calendrier est devenu incontournable. Le succès des iPhone et iPad d’Apple et des plateformes
Android de Google n’y est pas étranger.
Le nombre de Smartphones est en constante augmentation dans les entreprises. Alors que certains de ces
appareils étaient autrefois fournis aux employés, ce sont aujourd’hui les téléphones personnels qui doivent
être intégrés dans le système d’information de l’entreprise.
« Pourquoi ne me fournit-on pas au bureau le même matériel performant
dont je dispose chez moi ? » : telle est la question qu’entendent
de nombreux DSI au sein de leur entreprise.
Face à cette situation, combien d’entreprises disposent d’une véritable politique de sécurité adaptée à
l’utilisation des Smartphones? Il faut bien avouer que la vitesse d’évolution des appareils et des technologies ne facilite pas la tâche des DSI. Un grand nombre de problématiques apparaissent et les retours d’expériences manquent.
Alors que les menaces visant spécifiquement les Smartphones sont de plus en plus présentes, quelles sont
les solutions qui permettent de mieux maîtriser l’intégration des plateformes mobiles au sein d’un système
d’information ?
ÉTUDE LEXSI
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ.
LEXSI - INNOVATIVE SECURITY
LES MENACES LIÉES AUX SMARTPHONES
En considérant l’adoption massive de ces appareils, les DSI font face à une grande variété de plateformes mobiles se connectant aux ressources de l’entreprise avec plus ou moins de contrôle. 60 % des entreprises déclarent ainsi accepter l’intégration des Smartphones personnels au sein de l’entreprise. Gain de productivité, amélioration de collaboration et plus grande rapidité des échanges, tels sont les arguments mis en avant pour faire
accepter les Smartphones dans le monde professionnel.
L’intégration des Smartphones au sein d’un système d’information menace pourtant directement la sécurité du
système d’information.
La figure ci-dessous illustre d’un coté, en bleu, les menaces qui pèsent sur les Smartphones et de l’autre, en
rouge, les risques associés aux différentes menaces.
Phishing
Vol, Perte
Ecoute
réseau
Usurpation
d'identité
Saturation
réseau
Malware
Escroquerie
téléphonique
Faille
réseau
Vol
d'information
Drive By
Download
Faille du
navigateur
Faille
applicative
Contrôle à
distance
MENACES ET RISQUES ASSOCIÉS À L’UTILISATION DES SMARTPHONES
Les Smartphones connectés au système d’information représentent un vecteur d’attaque supplémentaire utilisé par les cybercriminels et les pirates informatiques. La mobilité constitue pour les logiciels malveillants et
la cybercriminalité un « Nouveau Monde inexploré », objet de toutes les convoitises. « Même si le nombre
total de virus et autres Malwares touchant les ordinateurs est encore supérieur à celui visant les Smartphones,
nous prédisons une forte augmentation de ce dernier dans les mois avenir », indiquait récemment l’éditeur
d’antivirus McAfee.
ÉTUDE LEXSI
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ.
LEXSI - INNOVATIVE SECURITY
COMMENT RÉAGIR ?
Supervision
Sensibilisation utilisateur
Sauvegarde et restauration
des données
Support Utilisateur
Inventaire des appareils
Protection Malware
Politique de sécurité
Installation d’application maitrisée
Mises à jour firmware
et applications
LES PILIERS D’UNE GESTION RÉUSSIE
■
Inventaire des appareils : la maitrise de sa
flotte s’appuie nécessairement sur un inventaire
le plus exhaustif possible. Il est très difficile de
mettre en œuvre une politique de sécurité efficace si l’on ne connait pas les types d’appareils
présents dans la flotte.
■
Protection Malware : Comme pour les PC, la
menace d’infection d’un OS mobile est réelle et
nécessite une protection spécifique. La protection contre les malwares (Virus, Trojans, ..) est
donc incontournable pour assurer la sécurité
d’une flotte d’entreprise.
■
Politique de sécurité : cette politique définit les
objectifs de sécurité liés à l’utilisation des
Smartphones en entreprise. On retrouve notamment les types de matériels autorisés, de populations concernées et les règles de sécurité. Cette
politique définit également les moyens de
contrôle à mettre en œuvre.
■
Supervision et gestion des coûts : L’objectif est
de disposer d’alertes et d’indicateurs pertinents
pour assurer la bonne gestion de sa flotte
de Smartphones. Il est également intéressant
de visualiser les temps de communications et
le volume de données échangées afin d’optimiser les dépenses liées à l’utilisation des
Smartphones.
■
Mise à jour firmware et applications : les systèmes d’exploitation mobiles ne constituent pas une
exception à la règle et de nombreuses vulnérabilités sont régulièrement identifiées et doivent
être corrigées afin de diminuer la surface d’attaque des Smartphones de l’entreprise.
■
Support utilisateur : le Smartphone, devient un
véritable outil de travail et l’entreprise qui le
met à disposition de ses collaborateurs doit
assurer un support utilisateur au même titre que
les postes de travail.
■
Gestion des applications : les applications installées sur les Smartphones doivent être sous le
contrôle de l’entreprise.
■
■
Sauvegarde et restauration des données : les
Smartphones manipulent un nombre croissant
de données sensibles qui doivent être sauvegardées périodiquement. La capacité pour le service informatique à restaurer les données est un
point important à prendre en compte (perte/vol
par exemple).
Sensibilisation des utilisateurs : l’utilisateur,
par ses actions sur le Smartphone est au cœur
des problématiques de sécurité. Il doit donc
être informé et sensibilisé aux risques et
menaces mais également aux bonnes pratiques à
respecter.
ÉTUDE LEXSI
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ.
LEXSI - INNOVATIVE SECURITY
LES RÉPONSES TECHNIQUES APPORTÉES PAR LES MDM
Les solutions MDM (Mobile Device Management ou gestion de flotte mobile) permettent de mettre en cohérence
et de centraliser la gestion des différents mécanismes de sécurité implémentés sur les appareils mobiles.
Voici quelques exemples de mécanismes de sécurité pouvant être pilotés par les solutions MDM.
■
Fonction d’inventaire : recenser les OS, les versions de firmware et les applications installées.
■
Distribution d’application : distribuer des applications aux Smartphones de la flotte et gérer les applications
installées (suppression/installation à distance, déploiement des correctifs)
■
Politique de mot de passe et verrouillage de l’appareil : forcer le verrouillage de l’appareil après quelques
minutes d’inactivité, définir une politique de mot de passe complète.
■
Configuration d’un profil par l’administrateur : pousser un profil de configuration à partir d’une console
centralisée afin de s’assurer que la même politique s’applique à l’ensemble de la flotte.
■
Gestion des services de télécommunication : visualiser les temps de communications et le volume de
données échangées afin d’optimiser les dépenses liées à l’utilisation des Smartphones.
■
Blocage ou effacement à distance : bloquer l’accès à l’appareil localement. Le blocage peut aussi
s’effectuer au niveau de l’accès aux ressources distantes (email, VPN…) Ce mécanisme permet d’éviter
la fuite d’information de façon notable. De même, en cas de compromission détectée, l’administrateur
peut ordonner l’effacement de la mémoire de l’appareil à distance.
■
Restrictions d’utilisation : permettre à l’administrateur de réduire la surface d’exposition de l’utilisateur
sur Internet. Il est ainsi recommandé de désactiver l’utilisation des applications de réseau social qui
peuvent entrainer la divulgation d’informations de façon non intentionnelle. Voici quelques exemples de
fonctionnalités à risque pour l’entreprise :
- Partage et diffusion de fichiers par Bluetooth
- Téléchargement d’applications non qualifiées par la DSI
Côté acteurs, on dénombre environ une trentaine de solutions de MDM sur un marché en pleine évolution.
LEXSI, à travers sa veille, ses retours d’expérience et ses compétences
en conseil technologique est le partenaire idéal pour vous accompagner sur
le choix d’un outil de gestion de flotte et sur sa mise en œuvre opérationnelle.
ÉTUDE LEXSI
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ.
LEXSI - INNOVATIVE SECURITY
LA DÉMARCHE LEXSI
LEXSI a développé une offre « Sécurité du Nomadisme » qui s’appuie sur l’ensemble des métiers
du groupe (Conseil, Audit, Veille & Cybercriminalité, Formation) et qui délivre des solutions concrètes aux
problématiques de l’usage des Smartphones en entreprise.
Cette démarche, détaillée ci-dessous, s’appuie sur nos nombreux retours d’expériences.
Inventaire des smartphones de la flotte (liste d'appareils et des systèmes d'exploitation)
Identification des politiques de sécurité existantes (verrouillage des appareils,
effacement à distance)
■ Etude de l'infrastructure existante (audit d'architecture, audit de configuration des
différents composants du SI liés aux plateformes mobiles)
■
Etat
des lieux
Définition
des objectifs
Etude du
marché
Aide au
déploiement
■
Définition de la politique de sécurité des Smartphones (types de smartphones autorisés,
règles de sécurité basique, règles de sécurité renforcée, moyens de contrôle)
■ Rédaction d'un cahier des charges pour le choix de solutions techniques selon les
exigences exprimées (fonctionnalités attendues, sécurité, exploitation, supervision)
■
Etude comparative des solutions du marché adaptées au cahier des charges (aspects
techniques, organisationnels)
■ Accompagnement dans le choix d'une solution de gestion de flotte
■
Accompagnement à la mise en œuvre de l'organisation nécessaire (rédaction de procédures,
définition des responsabilités) et au déploiement de la solution.
■ Sécurisation de la plateforme de gestion de flotte (test d'intrusion, audit de configuration,
mise en oeuvre des mesures de durcissement serveurs et mobiles)
■
Accompagnement sur de nouveaux projets autour de plateformes mobiles
Sécurisation d'applications pour smartphones (audit de code, formation au développement sécurisé)
■ Formation & Sensibilisation à l'utilisation des smartphones et aux procédures en
vigueur
■
Anticiper
les besoins
futurs
Formation &
Sensibilisation
■
■
■
■
Définition du format de la campagne de sensibilisation (support, durée, population)
Préparation des ateliers de sensibilisation
Animation des ateliers
ÉTUDE LEXSI
NOMADES ET SMARTPHONES EN ENTREPRISE … EN TOUTE SÉCURITÉ.
Innovative Security
Pour vous aider à maîtriser
vos risques
www.lexsi.com
SIEGE SOCIAL :
Tours Mercuriales Ponant
40 rue Jean Jaurès
93170 Bagnolet
TÉL. (+33) 01 55 86 88 88
FAX. (+33) 01 55 86 88 89
www.lexsi.com
NOTRE ÉTUDE COMPLÈTE SUR LES SOLUTIONS MDM EST DISPONIBLE AUPRÈS DE VOTRE CONTACT LEXSI.